DSGVO: Pflichten, Fristen und Bußgeldrisiken für Unternehmen im Überblick

Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 unmittelbar anwendbares Recht in der gesamten Europäischen Union. Sie verpflichtet jedes Unternehmen, das personenbezogene Daten verarbeitet, zu konkreten organisatorischen, technischen und dokumentarischen Maßnahmen – unabhängig von Branche oder Unternehmensgröße. Für deutsche Unternehmen ergänzt das Bundesdatenschutzgesetz (BDSG) die Verordnung in Bereichen wie Beschäftigtendatenschutz und Bestellpflicht für den Datenschutzbeauftragten.

Dieser Artikel gibt Geschäftsführungen und Compliance-Verantwortlichen eine strukturierte Übersicht der wichtigsten Pflichten: Bestellschwellen, Meldfristen, Dokumentationsanforderungen und Sanktionsrahmen. Er zeigt außerdem, welche operativen Strukturen die Auditfestigkeit eines Unternehmens langfristig stärken.

Art. 2 DSGVO definiert den sachlichen Anwendungsbereich weit: Jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung solcher Daten, die in einem Dateisystem gespeichert sind oder werden sollen, fällt in den Regelungsbereich. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – also Namen, E-Mail-Adressen, IP-Adressen, Kundennummern oder Gehaltsangaben.

Der räumliche Anwendungsbereich nach Art. 3 DSGVO erfasst nicht nur Verantwortliche mit Sitz in der EU, sondern auch Unternehmen außerhalb der EU, sofern sie Waren oder Dienstleistungen für EU-Bürger anbieten oder deren Verhalten beobachten (Marktortprinzip). Für den deutschen Mittelstand bedeutet das: Wer Kundendaten verarbeitet, Mitarbeiterdaten in HR-Systemen führt oder Website-Besucher trackt, ist DSGVO-pflichtig.

Ausnahmen gelten für rein persönliche oder familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO) sowie für bestimmte Tätigkeiten im Bereich der öffentlichen Sicherheit. Für nahezu alle unternehmerischen Kontexte sind diese Ausnahmen nicht einschlägig. Wer die Betroffenheit seines Unternehmens noch nicht systematisch geprüft hat, sollte dies vor der nächsten Aufsichtsanfrage nachholen – denn Frist läuft ab Kenntnis.

Eine strukturierte Prüfung des Anwendungsbereichs ist der erste Schritt jeder DSGVO-Compliance-Strategie. Sie bildet die Grundlage für das Verarbeitungsverzeichnis nach Art. 30 DSGVO und für die Risikofolgenabschätzung nach Art. 35 DSGVO.

Das Verbot mit Erlaubnisvorbehalt ist das Kernprinzip der DSGVO: Jede Verarbeitung personenbezogener Daten ist untersagt, sofern nicht eine der in Art. 6 DSGVO abschließend genannten Rechtsgrundlagen vorliegt. Für Unternehmen sind vor allem vier Grundlagen praxisrelevant:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der betroffenen Person – freiwillig, spezifisch, informiert und unmissverständlich.
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung oder vorvertragliche Maßnahmen auf Anfrage der betroffenen Person.
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung, der der Verantwortliche unterliegt (z. B. steuerrechtliche Aufbewahrungspflichten nach § 147 AO).
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen des Verantwortlichen oder eines Dritten, sofern die Interessen der betroffenen Person nicht überwiegen.

Für besondere Kategorien personenbezogener Daten (Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zur ethnischen Herkunft u. a.) greift das strengere Regime des Art. 9 DSGVO. Die Verarbeitung dieser Kategorien erfordert eine der explizit genannten Ausnahmen, etwa eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) oder die Notwendigkeit für Zwecke des Arbeitsrechts (Art. 9 Abs. 2 lit. b).

Eine fehlerhafte Rechtsgrundlage führt nicht nur zu Bußgeldrisiken nach Art. 83 DSGVO, sondern auch dazu, dass betroffene Personen Löschung und Schadensersatz nach Art. 17 und Art. 82 DSGVO geltend machen können. Die Wahl der richtigen Rechtsgrundlage muss daher vor Beginn der Verarbeitung getroffen und dokumentiert werden.

Art. 30 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Das Verzeichnis muss schriftlich – auch in elektronischer Form – vorliegen und auf Anfrage der Aufsichtsbehörde jederzeit zur Verfügung gestellt werden können. Eine Ausnahme für Unternehmen unter 250 Mitarbeitern gilt nur, wenn die Verarbeitung kein Risiko für die Rechte betroffener Personen birgt, nicht regelmäßig erfolgt und keine besondere Kategorie nach Art. 9 DSGVO umfasst. In der Praxis greift diese Ausnahme für die meisten Unternehmen nicht.

Inhaltlich verlangt Art. 30 Abs. 1 DSGVO unter anderem:

• Name und Kontaktdaten des Verantwortlichen sowie ggf. des Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Kategorien von Empfängern, einschließlich Empfänger in Drittländern
• Geplante Löschfristen
• Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

Das Verarbeitungsverzeichnis ist kein einmaliges Projekt, sondern ein lebendes Dokument. Jede neue Verarbeitungstätigkeit – ein neues CRM-System, ein neues HR-Tool, ein neues Marketingpixel – muss aufgenommen werden. In der Aufgabenliste des Datenschutzbeauftragten ist die laufende Pflege des Verzeichnisses eine der zentralen Routineaufgaben. Ohne aktuelles Verzeichnis fehlt bei einer Aufsichtsanfrage die Grundlage für eine strukturierte Antwort.

Art. 33 DSGVO verpflichtet jeden Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde zu melden. Die Frist beginnt nicht mit dem Zeitpunkt des Vorfalls, sondern mit dem Zeitpunkt, in dem der Verantwortliche hinreichende Gewissheit über die Verletzung erlangt hat – Frist läuft ab Kenntnis.

Meldepflichtig ist jede Verletzung, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiele: unberechtigter Zugriff auf Kundendaten, versehentliche Veröffentlichung von Personaldaten, Verlust eines unverschlüsselten Laptops mit Kundenstammdaten. Die Meldung muss mindestens enthalten:

• Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder geplante Abhilfemaßnahmen
• Kontaktdaten des Datenschutzbeauftragten

Wenn voraussichtlich ein hohes Risiko für betroffene Personen besteht, verpflichtet Art. 34 DSGVO zusätzlich zur direkten Benachrichtigung der Betroffenen ohne unangemessene Verzögerung. Die interne Dokumentation der Bewertung – auch wenn keine externe Meldung erfolgt – ist nach Art. 33 Abs. 5 DSGVO zwingend und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können. Ein eingespielter Notfallprozess, der Erkennung, Bewertung, Meldung und Dokumentation in unter 72 Stunden strukturiert, ist daher kein Nice-to-have, sondern eine rechtliche Obliegenheit.

Die DSGVO gewährt betroffenen Personen ein umfangreiches Rechteportfolio, das Unternehmen operativ umsetzen müssen. Die wichtigsten Rechte im Unternehmensalltag sind:

• Auskunftsrecht (Art. 15 DSGVO): Betroffene können jederzeit Auskunft darüber verlangen, welche Daten zu ihrer Person verarbeitet werden, zu welchem Zweck und an wen sie weitergegeben wurden. Frist: unverzüglich, spätestens einen Monat nach Eingang.
• Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige Daten müssen unverzüglich berichtigt werden.
• Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer Daten verlangen, z. B. wenn die Einwilligung widerrufen wird oder der Zweck entfällt.
• Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis berechtigter Interessen kann Widerspruch eingelegt werden; der Verantwortliche muss dann nachweisen, dass zwingende schutzwürdige Gründe überwiegen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bei automatisierten Verarbeitungen auf Basis Einwilligung oder Vertrag können Betroffene Daten in maschinenlesbarem Format anfordern.

Unternehmen ohne strukturierte Prozesse für die Bearbeitung von Betroffenenanfragen riskieren Verstöße allein durch Fristüberschreitungen. Eine klare interne Zuständigkeit – in der Regel beim Datenschutzbeauftragten – und ein dokumentierter Bearbeitungsprozess sind Pflicht. Die Ablehnung eines berechtigten Antrags muss begründet werden und kann von der Aufsichtsbehörde überprüft werden.

Wer personenbezogene Daten durch einen Dienstleister verarbeiten lässt – Cloud-Anbieter, Lohnbuchhaltung, CRM-Hoster, E-Mail-Marketing-Plattform – ist Auftraggeber einer Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Der Verantwortliche bleibt haftungsrechtlich für die Verarbeitung verantwortlich; der Auftragsverarbeiter verarbeitet ausschließlich auf dokumentierte Weisung hin.

Art. 28 DSGVO verlangt einen schriftlichen Auftragsverarbeitungsvertrag (AVV), der mindestens folgende Punkte regelt:

• Gegenstand, Dauer und Art der Verarbeitung
• Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Subunternehmer-Regelung
• Pflicht zur Unterstützung bei Betroffenenanfragen und Datenpannenmeldungen
• Löschung oder Rückgabe nach Beendigung des Auftrags

Die Kontrolle des Auftragsverarbeiters ist nicht mit Abschluss des AVV erledigt. Art. 28 Abs. 3 lit. h DSGVO verlangt, dass der Auftragsverarbeiter alle erforderlichen Informationen zum Nachweis seiner DSGVO-Konformität zur Verfügung stellt und Audits ermöglicht. In der Praxis werden hierfür häufig Zertifikate (ISO/IEC 27001:2022, SOC 2) akzeptiert – diese ersetzen jedoch nicht die eigenverantwortliche Prüfpflicht des Verantwortlichen. Fehlende AVVs zählen zu den häufigsten Beanstandungen bei Aufsichtsbehörden-Prüfungen.

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Norm nennt als Beispiele Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit, Verfügbarkeit und Zugang nach einem Vorfall rasch wiederherzustellen.

Entscheidend ist der risikobasierte Ansatz: Die TOMs müssen dem Stand der Technik entsprechen, angemessene Kosten berücksichtigen und auf Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken abgestimmt sein. Konkrete Maßnahmen, die in der Praxis regelmäßig verlangt werden:

• Zugriffskontrolle (Identitäts- und Berechtigungsmanagement, Least-Privilege-Prinzip)
• Verschlüsselung ruhender und übertragener Daten (AES-256, TLS 1.3)
• Protokollierung von Zugriffen auf sensible Datenkategorien
• Datensicherungs- und Wiederherstellungsprozesse
• Sicherheitsschulungen für Mitarbeitende
• Prozess zur Erkennung und Reaktion auf Sicherheitsvorfälle

TOMs sind kein einmaliges Ergebnis, sondern müssen regelmäßig überprüft und angepasst werden. Eine Orientierung am Informationssicherheitsbeauftragten und dem ISMS nach ISO/IEC 27001:2022 schafft strukturelle Voraussetzungen dafür, dass TOMs nicht nur eingeführt, sondern dauerhaft gelebt werden. Dokumentiert und auditfest ist dabei kein Bonus, sondern Pflicht.

Art. 83 DSGVO sieht einen zweigeteilten Bußgeldrahmen vor. Verstöße gegen grundlegende Pflichten wie die Rechtsgrundlagen der Verarbeitung (Art. 6), die Betroffenenrechte (Art. 12-22), Datenpannenmeldung (Art. 33-34) oder Datentransfers in Drittländer (Art. 44-49) können nach Art. 83 Abs. 5 DSGVO mit bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Organisatorische Pflichtverletzungen wie fehlende Aufzeichnungen oder fehlende Zusammenarbeit mit Behörden fallen unter Art. 83 Abs. 4 DSGVO mit einem Rahmen von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.

Neben Bußgeldern können Aufsichtsbehörden nach Art. 58 DSGVO weitere Maßnahmen ergreifen: Verwarnungen, Rügen, vorübergehende oder dauerhafte Verarbeitungsverbote sowie die Anordnung von Datenlöschungen. Betroffene Personen können zusätzlich zivilrechtlichen Schadensersatz nach Art. 82 DSGVO geltend machen – sowohl materiellen als auch immateriellen Schaden.

Die deutschen Datenschutzaufsichtsbehörden – auf Bundesebene die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), auf Landesebene die jeweiligen Landesdatenschutzbehörden – haben in den letzten Jahren die Bußgeldpraxis spürbar verschärft. Branchenübergreifend dokumentiert die DSGVO-Datenbank der noyb-NGO und der DPA-Datenbank mehrere Millionen-Euro-Bußgelder auch gegen mittelständische Unternehmen. Die Frage ist nicht ob, sondern wann eine Aufsichtsbehörde tätig wird – und ob die eigene Dokumentation dann belastbar ist.

DSGVO-Compliance ist kein einmaliges Projekt, sondern eine dauerhafte organisatorische Aufgabe. Sie umfasst das laufende Pflegen des Verarbeitungsverzeichnisses, die fristgerechte Bearbeitung von Betroffenenanfragen, die Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, regelmäßige Schulungen sowie die Reaktion auf Datenpannen innerhalb von 72 Stunden.

Das setzt voraus, dass ein Datenschutzbeauftragter nicht nur formal bestellt ist, sondern mit den richtigen Werkzeugen ausgestattet wurde. Andere führen Compliance wie einen Aktenschrank. CIVAC führt sie wie Software – mit einer Plattform, die Aufgaben, Schulungen, Projekte, Dokumentation, Fragen und Templates in einem auditierbaren Workspace vereint.

CIVAC bietet zwei Modelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere externen Datenschutzbeauftragten durch CIVAC bestellen. Beide Modelle teilen dieselbe Plattform, denselben Audit-Trail und dieselbe Berichtslinie zur Geschäftsführung. Die Bestellurkunde ist unterschrieben, abgelegt und belegbar – ab zwei Werktagen, nicht erst nach sechs Wochen.

Wenn Sie die DSGVO-Anforderungen Ihres Unternehmens strukturiert umsetzen möchten, sprechen Sie mit CIVAC. Aus dem Lesen einen Auftrag machen: info@civac.de.